Κατά την πρόσβαση σε μια υπηρεσία που χρησιμοποιεί κοινόχρηστα στοιχεία δικτύου σε διακομιστή μεσαίου επιπέδου, ζητούνται από τους χρήστες διαπιστευτήρια και τελικά αντιμετωπίζουν ένα σφάλμα άρνησης πρόσβασης. Στη σημερινή ανάρτηση, θα παρουσιάσουμε μερικά σενάρια περιπτώσεων, θα εντοπίσουμε την αιτία και, στη συνέχεια, θα παρέχουμε τις πιθανές λύσεις στο ζήτημα του γιατί η περιορισμένη ανάθεση εκχώρησης για CIFS αποτυγχάνει με το σφάλμα ACCESS_DENIED στα Windows 10.

Το Common Internet File System (CIFS)^{(Common Internet File System (CIFS))} είναι ένα πρωτόκολλο κοινής χρήσης αρχείων που παρέχει έναν ανοιχτό και πολλαπλό μηχανισμό για την υποβολή αιτημάτων για αρχεία και υπηρεσίες διακομιστή δικτύου. Το CIFS^(CIFS)  βασίζεται στην βελτιωμένη έκδοση του πρωτοκόλλου Server Message Block (SMB) της Microsoft για κοινή χρήση αρχείων στο Διαδίκτυο και στο intranet.^(Internet)

Η περιορισμένη ανάθεση για το CIFS αποτυγχάνει στα Windows

Ενδέχεται να αντιμετωπίσετε αυτό το ζήτημα εάν ο χρήστης ζητηθεί για διαπιστευτήρια και η πρόσβαση τελικά αποτύχει με ένα σφάλμα απαγόρευσης πρόσβασης με βάση τα ακόλουθα τρία σενάρια.

Σενάριο 1^{(Scenario 1)}

• Ο ιστότοπος των υπηρεσιών IIS έχει ρυθμιστεί με τον αρχικό κατάλογο να δείχνει προς το απομακρυσμένο κοινόχρηστο στοιχείο χρησιμοποιώντας έλεγχο ταυτότητας μεταβίβασης και περιορισμένη ανάθεση που έχουν ρυθμιστεί για CIFS .
• Το χώρο συγκέντρωσης εφαρμογών IIS που έχει πρόσβαση σε αυτό το κοινόχρηστο στοιχείο εκτελείται με την ταυτότητα του λογαριασμού υπηρεσίας.
• Ο λογαριασμός τομέα είναι αξιόπιστος για ανάθεση για την υπηρεσία CIFS στον διακομιστή αρχείων.

Σενάριο 2^{(Scenario 2)}

• Η εφαρμογή Ιστού προσπαθεί να αποκτήσει πρόσβαση σε διακομιστή αρχείων ως χρήστης.
• Το χώρο συγκέντρωσης εφαρμογών IIS που έχει πρόσβαση σε αυτό το κοινόχρηστο στοιχείο εκτελείται με την ταυτότητα του λογαριασμού υπηρεσίας. Ο λογαριασμός τομέα είναι αξιόπιστος για ανάθεση για την υπηρεσία CIFS στον διακομιστή αρχείων.
• Η περιορισμένη ανάθεση που έχει ρυθμιστεί για CIFS έχει ρυθμιστεί στον λογαριασμό υπηρεσίας για τον διακομιστή αρχείων.

Σενάριο 3^{(Scenario 3)}

• Οποιαδήποτε εφαρμογή από την πλευρά του διακομιστή στην οποία γίνεται πρόσβαση από έναν πελάτη έχει πρόσβαση σε απομακρυσμένα κοινόχρηστα στοιχεία ως χρήστης.
• Η εφαρμογή από την πλευρά του διακομιστή εκτελείται στο πλαίσιο ενός λογαριασμού υπηρεσίας.
• Ο λογαριασμός Service είναι αξιόπιστος για ανάθεση και έχει ρυθμιστεί για εκχώρηση CIFS για τον διακομιστή αρχείων.

Αυτό έχει εντοπιστεί ως πρόβλημα μεταξύ του MrxSmb 2.0 και του Kerberos όταν εμπλέκεται περιορισμένη ανάθεση.

Για την επίλυση αυτού του ζητήματος, η Microsoft προσφέρει δύο λύσεις.

Λύση 1

Χρησιμοποιήστε έναν λογαριασμό μηχανήματος αντί για έναν λογαριασμό υπηρεσίας ως ταυτότητα για εφαρμογές που θα εκτελούν περιορισμένη ανάθεση για CIFS . Διαμόρφωση περιορισμένης ανάθεσης όταν το λειτουργικό επίπεδο τομέα είναι Windows Server 2003 , Windows Server 2008 ή Windows Server 2008 R2.

Για να το κάνετε αυτό στον ελεγκτή τομέα για τον τομέα των διακομιστών Ιστού σας, κάντε τα εξής:

• Κάντε κλικ Start > Administrative Tools > Χρήστες και υπολογιστές Active Directory^{(Active Directory Users and Computers)} .
• Αναπτύξτε^(Expand) τον τομέα και, στη συνέχεια, αναπτύξτε το φάκελο Υπολογιστές .^(Computers)
• Στο δεξιό τμήμα του παραθύρου, κάντε δεξί κλικ στο όνομα του υπολογιστή για τον διακομιστή web, επιλέξτε Ιδιότητες^(Properties) και, στη συνέχεια, κάντε κλικ στην   καρτέλα Ανάθεση .^(Delegation)
• Επιλέξτε το  πλαίσιο ελέγχου Εμπιστοσύνη αυτού του υπολογιστή για ανάθεση μόνο σε συγκεκριμένες υπηρεσίες^{(Trust this computer for delegation to specified services only)} .
• Βεβαιωθείτε ότι   είναι επιλεγμένο  το Use Kerberos only και, στη συνέχεια, κάντε κλικ ^{(Use Kerberos only)}στο OK^(OK) .
• Κάντε κλικ στο  κουμπί Προσθήκη^{(Add button)} .
• Στο   παράθυρο διαλόγου  Προσθήκη ^(Add) υπηρεσιών , κάντε κλικ στην επιλογή ^(Services)Χρήστες ή Υπολογιστές^{(Users or Computers)} και, στη συνέχεια, περιηγηθείτε ή εισαγάγετε το όνομα του διακομιστή αρχείων που θα λάβει τα διαπιστευτήρια του χρήστη από τις υπηρεσίες IIS .
• Κάντε κλικ  στο OK^(OK) .
• Στη λίστα  Διαθέσιμες ^(Available) υπηρεσίες^(Services)  , επιλέξτε την  υπηρεσία CIFS .
• Κάντε κλικ  στο OK^(OK) .

Λύση 2

Αυτή η λύση δεν συνιστάται^{(not recommended)} επειδή απαιτεί  Χρήση^(Use) οποιασδήποτε εκχώρησης πρωτοκόλλου ελέγχου ταυτότητας στον λογαριασμό υπολογιστή. Εάν  είναι επιλεγμένη η επιλογή Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας^{(Use any authentication protocol)}  , ο λογαριασμός χρησιμοποιεί περιορισμένη ανάθεση με μετάβαση πρωτοκόλλου.

Εάν πρέπει να χρησιμοποιήσετε την ταυτότητα των εφαρμογών ως λογαριασμό υπηρεσίας ή/και λογαριασμό τομέα, κάντε τα εξής:

Βήμα 1^{(Step 1)}

• Κάντε κλικ στο Έναρξη^{(Start )} >  Administrative Tools > Χρήστες και υπολογιστές Active Directory^{(Active Directory Users and Computers)} .
• Αναπτύξτε^(Expand) τον τομέα και, στη συνέχεια, αναπτύξτε το φάκελο Υπολογιστές .^(Computers)
• Στο δεξιό τμήμα του παραθύρου, κάντε δεξί κλικ στο όνομα του υπολογιστή για τον διακομιστή web, επιλέξτε Ιδιότητες^(Properties) και, στη συνέχεια, κάντε κλικ στην   καρτέλα Ανάθεση .^(Delegation)
• Επιλέξτε το  πλαίσιο ελέγχου Εμπιστοσύνη αυτού του υπολογιστή για ανάθεση^{(Trust this computer for delegation to specified services)} μόνο σε συγκεκριμένες υπηρεσίες.
• Βεβαιωθείτε ότι  έχει επιλεγεί η επιλογή Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας^{(Use any authentication protocol)} .
• Κάντε κλικ στο OK^(OK) .
• Κάντε κλικ στο  κουμπί Προσθήκη^{(Add button)} .
• Στο   παράθυρο διαλόγου  Προσθήκη ^(Add) υπηρεσιών , κάντε κλικ στην επιλογή ^(Services)Χρήστες ή Υπολογιστές^{(Users or Computers)} και, στη συνέχεια, περιηγηθείτε ή εισαγάγετε το όνομα του διακομιστή αρχείων που θα λάβει τα διαπιστευτήρια του χρήστη από τις υπηρεσίες IIS .
• Κάντε κλικ  στο OK^(OK) .
• Στη λίστα  Διαθέσιμες ^(Available) υπηρεσίες^(Services)  , επιλέξτε την υπηρεσία CIFS^{(CIFS service)} .
• Κάντε κλικ  στο OK^(OK) .

Βήμα 2^{(Step 2)}

• Στο αριστερό παράθυρο, αναπτύξτε το φάκελο Χρήστες.
• Στο δεξιό τμήμα του παραθύρου, κάντε δεξί κλικ στον λογαριασμό υπηρεσίας που είναι η ταυτότητα του χώρου συγκέντρωσης εφαρμογών, επιλέξτε  Ιδιότητες^(Properties) και, στη συνέχεια, κάντε κλικ στην   καρτέλα Ανάθεση .^(Delegation)
• Επιλέξτε το  πλαίσιο ελέγχου Εμπιστοσύνη αυτού του υπολογιστή για ανάθεση μόνο σε συγκεκριμένες υπηρεσίες^{(Trust this computer for delegation to specified services only)} .
• Βεβαιωθείτε ότι  είναι επιλεγμένο το Use only Kerberos .^{(Use Kerberos only)}
• Κάντε κλικ στο OK^(OK) .
• Κάντε κλικ στο  κουμπί Προσθήκη^{(Add button)} .
• Στο  παράθυρο διαλόγου  Προσθήκη ^(Add) υπηρεσιών , κάντε κλικ στην επιλογή ^(Services)Χρήστες ή Υπολογιστές^{(Users or Computers)} και, στη συνέχεια, περιηγηθείτε ή εισαγάγετε το όνομα του διακομιστή αρχείων που θα λάβει τα διαπιστευτήρια του χρήστη από τις υπηρεσίες IIS .
• Κάντε κλικ  στο OK^(OK) .
• Στη λίστα  Διαθέσιμες ^(Available) υπηρεσίες^(Services)  , επιλέξτε την υπηρεσία CIFS^{(CIFS service)} .
• Κάντε κλικ  στο OK^(OK) .

Ελπίζω αυτή η ανάρτηση να βοηθήσει.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessіng a servicе that useѕ network shares on a middle-tier server, users are prompted for credentials, and they eventually encoυnter an accеsѕ denied error. Іn todау’s post, we will present a couple of case scenarioѕ, identify thе cause and then provide the possіble workarounds to the issue of why constrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Διορθώστε το μήνυμα Σφάλμα 1005 Απαγόρευση πρόσβασης κατά την επίσκεψη σε ιστότοπους

• Η Υπηρεσία Πελατών DHCP δίνει σφάλμα Απαγόρευση πρόσβασης στα Windows 11/10

• Πώς να προσαρμόσετε το μήνυμα σφάλματος Απαγορεύεται η πρόσβαση στα Windows 10

• Δεν επιτρέπεται η πρόσβαση, Δεν έχετε άδεια πρόσβασης σε αυτόν τον διακομιστή

• Διορθώστε το σφάλμα Access Control Entry είναι κατεστραμμένο στα Windows 10

• Πώς να ανοίξετε ένα κρυπτογραφημένο αρχείο εάν η πρόσβαση δεν επιτρέπεται στα Windows 11/10

• Το SFC Failed to Repair και το DISM εμφανίζει σφάλμα 0x800f081f στα Windows 10

• Σφάλμα συστήματος 6118, Η λίστα των διακομιστών για αυτήν την ομάδα εργασίας δεν είναι διαθέσιμη

• Η εφαρμογή δεν μπορεί να βρει τον σαρωτή - WIA_ERROR_OFFLINE, 0x80210005

• Το MBR2GPT απέτυχε να ενεργοποιήσει τα δικαιώματα δημιουργίας αντιγράφων ασφαλείας/επαναφοράς στα Windows 10

• Πώς να αποκτήσετε πρόσβαση στον αποκλεισμένο φάκελο στα Windows 11/10

• Διορθώστε το σφάλμα φόρτωσης εφαρμογής 5:0000065434 στα Windows 10

• Σφάλμα Αναγνωριστικού συμβάντος 158 - Εκχώρηση πανομοιότυπων GUID δίσκου στα Windows 10

• Τα Windows δεν μπορούν να επαληθεύσουν την ψηφιακή υπογραφή (Κωδικός 52)

• Σφάλμα κατάργησης Access Denied κατά την πρόσβαση σε αρχεία ή φακέλους στα Windows

• Διορθώστε το σφάλμα Microsoft Store 0x87AF0001

• Ανοίξτε το Σημειωματάριο ως διαχειριστή για να αποφύγετε την "Απόρριψη πρόσβασης"

• Πώς να διορθώσετε το πρόβλημα σύγκρουσης υπογραφής δίσκου στα Windows 11/10

• Σφάλμα 2738, Δεν ήταν δυνατή η πρόσβαση στο χρόνο εκτέλεσης VBScript για προσαρμοσμένη ενέργεια

• Διορθώστε το σφάλμα εφαρμογής 0xc0150004 στα Windows 11/10